1.                        

Windows Persistence ve Migrating

'Dökümanlar' forumunda RichWarrior tarafından 5 Nisan 2018 tarihinde açılan konu

  1. RichWarrior

    RichWarrior Albay

    Katılım:
    19 Şubat 2016
    Mesaj:
    255
    Beğeniler:
    75
    Ödül Puanları:
    28
    Şehir:
    (34) İstanbul Avrupa
    Web Sitesi:
    Bugün sizlere "Windows 7 Migration and Persistence" konusundan bahsedeceğim. Sizlere öncelikle "Migration" ve "Persistence" işlemlerini anlatacağım.



    • Amaç: Windows 7 sistemler için bir exploit yaratacağız ve bunu sisteme upload edeceğiz. Sistem içerisinde daha uzun ömürlü kalabilmek açısından programımızı çalışan process'ler içinden bir tanesine gömeceğiz. Sistem kapansa bile sistem başladığında bağlantı için çalışan bir servis oluşturacağız.


    • Gereksinimler:
      1. Windows 7 işletim sistemi (Sanal veya harici sistem)
      2. Kali Linux 2018.1
      3. Apache2 Web Server
      4. Metasploit Framework

    • Migrate Nedir?
      Migrate işlemi kullanıcı taskmgr içinde çalışan işlemlere baktığı vakit sizin exploit dosyanızı görmesi yerine başka bir dosyayı görmesi ve onu windows dosyası sanma işlemidir. Bu şekilde kullanıcı migrate işleminde çalışan exploit dosyasını bir windows sistemi sanacaktır.

    • Persistence Nedir?
      Persistence sisteme gönderdiğiniz exploit dosyasının boot işlemi esnasında açılıp size bağlanmasını sağlayan işleme denmektedir.


    • Windows 7 Hacking İşlemi
      Kullanıcağımız Exploit: windows/meterpreter/reverse_tcp

      [​IMG]

      Gerekli parametreler ile web sunucumuz içine "cyberguilty.exe" adında bir exploit oluşturuyoruz.
      [​IMG]



      Dosya sunucu içerisinde başarılı bir şekilde gözüküyor.
      [​IMG]


      Metasploit framework içerisinde "multi/handler" modülü ile gerekli ayalar yapılır ve bağlantı sağlanıyor.

    • Migrate İşlemi
      [​IMG]

      Görev yöneticisine bakıldığında exploit dosyamız aktif olarak gözüküyor ve bu kullanıcı tarafından göze çarpabilir.
      [​IMG]

      Windows dosya gezgini olarak bilinen "explorer.exe" içerisine exploit dosyamızı enjekte ettik.
      [​IMG]

      Process List içerisinde cyberguilty.exe başarıyla kayıp oldu.


    • Persistence İşlemi
      Öncelikle ilk yapmamız gereken bağlatıyı arkaplan bir süreçe çevirmek.
      [​IMG]

      [​IMG]

      [​IMG]
      Modül Adı = windows/local/persistence
      1. EXE_NAME = Servis ismimiz
      2. SESSIONS = elde ettiğimiz sessions
      3. EXE::Custom = servisin çalıştıracağı ve sisteme upload edilecek exploit
      Bu işlemlerin ardından sistemi meterpreter ile reboot ettiğiniz zaman içinde bile sistem size otomatik olarak tekrar bağlanacak ve sistem içerisinde gizlice istediğiniz işlemleri yapabileceksiniz.

      http://cyberguilty.blogspot.com.tr
     
    ruger, Kalimita, madalok12 ve 2 kişi daha bunu beğendi.
  2. tekroot

    tekroot Active Member

    Katılım:
    11 Ekim 2016
    Mesaj:
    251
    Beğeniler:
    25
    Ödül Puanları:
    28
    Cinsiyet:
    Erkek
    Meslek:
    programlama teknik yazılım bilgisayar elektronik
    Şehir:
    Unknown
    eline saglik kardesim guzel paylasimin icin
     
  3. RichWarrior

    RichWarrior Albay

    Katılım:
    19 Şubat 2016
    Mesaj:
    255
    Beğeniler:
    75
    Ödül Puanları:
    28
    Şehir:
    (34) İstanbul Avrupa
    Web Sitesi:
    Rica Ederim
     
  4. Kalimita

    Kalimita New Member

    Katılım:
    24 Nisan 2018
    Mesaj:
    4
    Beğeniler:
    0
    Ödül Puanları:
    1
    Ellerinize sağlık , teşekkürler .
     
  5. RichWarrior

    RichWarrior Albay

    Katılım:
    19 Şubat 2016
    Mesaj:
    255
    Beğeniler:
    75
    Ödül Puanları:
    28
    Şehir:
    (34) İstanbul Avrupa
    Web Sitesi:
    Teşekkür Ederim
     
  6. tommy112

    tommy112 New Member

    Katılım:
    2 Mayıs 2018
    Mesaj:
    1
    Beğeniler:
    0
    Ödül Puanları:
    1
    Cinsiyet:
    Erkek
    eline sağlık ama bir işe yaramaz bu persistence. windows defender aynı bir kurt gibi saniyesinde siliyor. hiçbir şekilde persistence olamazsınız güncellemiş windows defender kurulu olan bir bilgisayarda... tek seçenek windows defenderi kapatmaktır . fakat windows defender kapatmak öyle kolay değildir. ben 1 aydır bunun üzerine ciddi çalışmalarım var. fakat bir yol buldum ama çok sıkıntılı bir yol. windows defenderi kapatıyorum , yanlız kurbanın bilgisayarını yeniden başlatmam gerek oluyor. kurbanın bilgisayarını kapamazsam , kurban windows defendere tıkladığında virüs programı açılmıyor ama defender aktif olarak çalışıyor. nezaman yeniden baştırsam ozaman tam kapanıyor. bu yüzden kalıcıda olamıyorum. çünki persistence işlemi yaptığımda windows defender hemen siliyor.yeniden başlatırsam , meterpreter oturumu birdaha gelmiyor.çünki kalıcı olmadan karşı bilgisayarı yeniden başlatmış oluyorum. neleri denedim bir bilseniz... en sonunda bir yöntem buldum. metasploit persistence postlarını kullnmadan persistence olmaya çalıştım. yani karşı bir bilgisayar meterpreter oturumu açıkken c:\windows klasörünün içine başka bir backdoor upload ettim. upload ettiğim backdooru da karşı bilgisayar her yeniden başladığında otomotik çalıştırmasını sağladım. fakat bunu bile yaptığımda windows defender anında siliyordu. oluşturduğm backdoor virüssüz olmasına rağmen upload ettiğim bir backdooru her bilgisayar yeniden başladığında çalışacak şekilde ayarlasam bile wndows defender silmeye devam ediyordu.... artık anladım ki bu işin bir çözüümü kaldı , o da şansının yaver gitmesidir.

    ilk başta windows defenderi tamamen kapatıyorum, fakat kurbanın bilgisayarını yeniden başlatmadığım için hala aktif
    sonra backdooru upload ediyorum kurbanın windows klasörünün içine
    daha sonra upload ettiğim backdooru bilgisayar her yeniden başladığunda çalışacak şekilde ayarlıyorum ama entere basmıyorum. entere basarsam defender hhemen silecek.
    bu yüzden kullanacağım 2 komut var, exit ve reboot komutları ... exit komutunu kopyalıyorum... entere basıyorum ve hemen exit komutunu yapıştırıp ve hemen arkasındada reboot yazıyorum. reboot yazarken ekranda windows defender tam ötüyor şekilde reboot yazıyorum. yani tam bilgisayar başladığında herzmaan çalışacak backdooru ayarlamak için eneter bastığımda arkasından hızlı birşekilde exit ve reboot komutunu yazmam gerek. 2 sanye geç kalırsam windows defender siliyor. hatta tam ben reboot yazarken windows defender ötüyor ve virüslü dosya diyor o sırada reboot atıyorum. bilgisayar yeniden başladıkdan sonra windows defender açılmıyor. çünki ilk başda devre dışı bırakmışdık.
    böylece artık backdoorum sağlam birşekilde çalışıyor. bu yöntem çok sıkıntılı bir yönntemdir. 2 saniye geç kalınırsa çalışmaz...

    bütün persistence şekillerini denedim. hiçbiri defender karşısında çalışmıyor. boşuna zamanınızı ölddürmeyn. ben bu yöntemin üzerine daha güzel bir yöntem öğrenirsem videosunu çekmeyi düşünüyorum.
     
  7. RichWarrior

    RichWarrior Albay

    Katılım:
    19 Şubat 2016
    Mesaj:
    255
    Beğeniler:
    75
    Ödül Puanları:
    28
    Şehir:
    (34) İstanbul Avrupa
    Web Sitesi:
    Öncelikle bu kadar ciddiye alıp yazdığınız için teşekkür ederim. Windows 7 SP1 üzeri işletim sistemlerine zaten artık direkt meterpreter scriptlerini çalıştırmanız çok zor ve powershell üzerinden post explation işlemleri yapmanız gerekiyor. Persistence işlemi defender tarafından yakalanma sebebi "EXE::CUSTOM" kısmında sisteme upload ettiğiniz exploit dosyasından kaynaklanmakta. Eğer powershell ile antivirüs atlatarak bir persistence işlemi yaparsanız çalışacağını düşünüyorum.

    İyi Forumlar
     

Bu Sayfayı Paylaş

Share